Cerca
  • Sicurezza
  • Attualità

Città digitali, Dpo e tutela dei dati personali

Città digitali, Dpo e tutela dei dati personali

Enti pubblici in affanno sulla corretta gestione dei dati personali. Scarsa comprensione dei ruoli privacy, negligenza organizzativa e mancata nomina del responsabile della protezione dei dati (il Dpo o Rpd) sono infatti fattori comuni in numerosi enti pubblici della penisola. Lo hanno evidenziato le linee guida del Garante per la protezione dei dati del 29 aprile 2021 finalizzate a chiarire il ruolo del responsabile della protezione dei dati. Il riferimento professionale più importante per l’adeguamento degli enti al Gdpr. Il documento analizza nel dettaglio il ruolo e le funzioni attribuite a questa figura professionale destinata ad essere sempre più importante anche all’’interno dei comuni in ragione dell’accelerazione impressa al digitale dall’Europa.

Dpo, chi è il responsabile della protezione dei dati

Sono passati oltre tre anni dall’entrata in vigore definitiva del Gdpr, ma ancora alcuni enti pubblici non hanno neppure provveduto a nominare il responsabile della protezione dei dati. Una figura strategica, obbligatoria e fondamentale per agevolare il corretto passaggio al mondo digitale nel rispetto dei diritti fondamentali delle persone fisiche. Il quadro che emerge dalle linee di indirizzo del Garante è sconsolante perché denota il grande ritardo culturale con il quale il Paese si appresta ad affrontare l’ulteriore accelerazione europea. Nelle 36 pagine di suggerimenti e indicazioni operative, frutto di un’analisi circostanziata di studio e verifica, il Garante evidenzia una serie di superficialità che se non verranno sanate determineranno sanzioni e richiami.

La nomina del Dpo nella PA

Innanzitutto non è stato compreso l’esatto ruolo del responsabile della protezione dei dati ovvero una figura professionale obbligatoria molto qualificata e necessaria agli enti per il supporto e la vigilanza sulla correttezza del trattamento dei dati personali. Il Dpo è infatti innanzitutto il punto di contatto sia per l’Autorità che per gli interessati in materia di privacy. Il suo riferimento e la sua nomina devono essere gestiti con la massima trasparenza e nel rispetto di procedure standardizzate. Attenzione però ai conflitti di interesse. Trattandosi di un soggetto eclettico, a disposizione del Garante e del titolare per finalità di supporto, vigilanza e indirizzo, lo stesso non potrà svolgere attività meramente esecutive potenzialmente sottoposte al suo controllo. Per il suo reclutamento non servono particolari qualifiche. Conta molto l’esperienza e l’incarico può essere conferito sia a un soggetto interno che esterno all’ente pubblico.

CTA Tecno survey PA

Il ruolo del responsabile della protezione dei dati

Il responsabile della protezione dei dati deve essere fisicamente presente nelle strutture perché l’incarico non deve risolversi in una mera formalità. Tra le indicazioni piccanti delle linee di indirizzo spicca il punto 7 del documento centrale dove l’Autorità bacchetta gli enti che hanno indicato come titolare del trattamento il suo legale rappresentante. A ragione di una scarsa consapevolezza dei ruoli privacy. Il responsabile della protezione dei dati deve essere supportato dall’ente nello svolgimento delle sue attività, specifica il documento centrale, e quindi non può essere lasciato solo e senza supporti. Il Dpo dovrà affiancare l’ente negli adempimenti privacy ma non può diventare un mero esecutore.

Spetta al responsabile della protezione dei dati formare il personale, programmare le azioni e supervisionare le procedure di corretto trattamento dei dati personali ma a questa particolare figura professionale non possono essere affidati compiti che spettano al titolare e che esulano dalle attività di consulenza, sorveglianza e più in generale di consultazione.

Un solo Dpo per ogni ente pubblico

Il documento di indirizzo del Garante è finalizzato a valorizzare la figura professionale del responsabile della protezione dei dati, un elemento fondamentale dell’organizzazione con compiti di supporto, vigilanza e incentivazione al corretto trattamento dei dati personali. In pratica, il Dpo è il punto di contatto del Garante, una sorta di facilitatore dei rapporti con l’Autorità cui il titolare dovrà rivolgersi prima di chiedere informazioni o chiarimenti al Garante. Anche se si tratta di una struttura complessa, il Dpo dovrà essere uno solo per ogni ente, specifica il documento centrale.

Nel caso di una Unione di comuni andrà nominato un Dpo per l’Unione e un Dpo per ognuno dei comuni associati. Attenzione però alle società che svolgono incarichi di Dpo per troppi enti. A parere dell’Autorità non è materialmente possibile che una società impieghi poche persone per seguire numerosi enti. In ogni caso all’interno di ogni ente pubblico andrà nominato uno staff privacy di supporto specifico al responsabile per la protezione dei dati.

CTA Tecno survey PA
Stefano Manzelli è Responsabile della protezione dei dati. Direttore di sicurezzaurbanaintegrata.it Collaboratore di Giuffrè Editore, Wki, ItaliaOggi. Consulente delle Pubbliche Amministrazioni e degli enti pubblici in materia di sicurezza urbana.